情報漏えい事故を起こす企業の特徴は? ベライゾン報告NEWS

ベライゾンは2010年に確認した情報漏えい事故に関する報告書を発表。被害を受けた企業の特徴や犯罪者の攻撃手法などを公開した。

2011年04月20日 19時39分 公開
[上口翔子,TechTargetジャパン]

 ベライゾン・ビジネス(以下、ベライゾン)は4月20日、2010年に確認した情報漏えい事故についてまとめた「2011年度データ漏えい/侵害調査報告書」を発表した。ベライゾンは全世界6カ所にセキュリティ管理センターを設置し、情報漏えい対策やPCI DSS策定の評価・監査などを行う企業。日本でも複数社の各種セキュリティコンサルティングを手掛けている。同報告書はベライゾンと米国シークレットサービス(United States Secret Service)が調査したインシデント報告を基に作成した。

画像 ベライゾン シニアコンサルタント フォレンジック調査対応部 鵜沢裕一氏

 報告書によると、2010年に全世界で確認した情報漏えい事故の件数は約760件。同事故により流出したデータ数は約400万だった。ベライゾン シニアコンサルタント フォレンジック調査対応部の鵜沢裕一氏はこの結果について「発生件数は報告書の取り扱いを開始した2008年以降で過去最多だったが、流出したデータ数は2009年の1億4400万と比較して大幅に減少した」とコメント。米国の悪質犯罪グループのリーダー格が逮捕されたことや、企業側での対策が進んでいる点が起因としている。

 一方、サイバー攻撃などで漏えいするデータ内容にも変化が見られた。以前は流出しても直接的な被害にはつながらない情報も多く含まれていたが、2010年は機密情報を含むフォルダなどを中心に狙われる傾向があり、少量でも被害は大きかったという。その他2010年の特徴として鵜沢氏は、攻撃手法としてハッキングマルウェアを用いたサイバー攻撃に加え、ATMやガソリンスタンドでの決済時にクレジットカード番号を盗む物理的な攻撃が見られた(全体の29%を占める)点を挙げた。

 攻撃を受けないためには、基本的なセキュリティ対策が大切であると鵜沢氏は指摘する。興味深い結果として、今回被害を受けた企業のPCI DSS準拠率が11%だったという数値がある。PCI DSSはクレジットカード情報の取り扱いに関する情報セキュリティ基準だが、一般企業向けにもセキュリティ対策を考案・実施するうえで十分有効に働く。

 以下、PCI SSCで義務付けている12の要件である。

PCI DSSが定める12の要求事項
目的 セキュリティ要件
安全なネットワークの構築・維持 要件1:カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件2:システムパスワードとほかのセキュリティパラメータにベンダー提供のデフォルトを使用しないこと
カード会員データの保護 要件3:保存されたカード会員データを安全に保護すること
要件4:公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
脆弱性を管理するプログラムの整備 要件5:アンチウイルスソフトウェアを利用し、定期的に更新すること
要件6:安全性の高いシステムとアプリケーションを開発し、保守すること
強固なアクセス制御手法の導入 要件7:カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件8:コンピュータにアクセスする利用者ごとに個別のIDを割り当てること
要件9:カード会員データへの物理的アクセスを制限すること
定期的なネットワークの監視およびテスト 要件10:ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
要件11:セキュリティシステムおよび管理手順を定期的にテストすること
情報セキュリティポリシーの整備 要件12:情報セキュリティに関するポリシーを整備すること

 今回被害が発覚した企業の70%がデフォルトのID/パスワード運用しているなど、基本的な対策が取られていなかった(PCI DSSでは要件2に該当)。また、ベライゾンの顧客の中にもウイルス対策製品を最新版にアップデートしていないなど、特に中堅・中小企業にそうした運用の不備が見られるという。鵜沢氏はそうした基本事項の見直しを行うとともに、「そもそもユーザーの個人情報やクレジットカード情報を保管しておく必要があるのか、“あると便利”程度のものは安全な場所に保管する、またはビジネス上必要でないのなら削除するなどの対策を徹底すべきである」と訴えた。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

市場調査・トレンド ラピッドセブン・ジャパン株式会社

「検知と対応に関する調査」から見えてきた、各組織のサイバー脅威への取り組み

脅威の検知と迅速な対応は、セキュリティ戦略の中核をなす重要な機能だ。これを実現するために、多くの組織が自動化ツールやAIなどの技術を採用しているが、成果を挙げている組織もあれば、そうでない組織もあり、明暗が分かれている。

市場調査・トレンド ラピッドセブン・ジャパン株式会社

セキュリティ製品の乱立を解消し、ベンダーを統合すべき理由とは?

近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。

製品資料 フォーティネットジャパン合同会社

費用対効果の高いセキュリティ製品をどう見極める? 5つの組織の例に学ぶ

データセンターにおいて、NGFWやマルウェア対策といったセキュリティ製品の導入は不可欠だが、選定を誤ると非効率な運用プロセスや高いコストに悩まされることとなる。5つの組織の例から、費用対効果の高い製品を見極めるコツを探る。

製品レビュー サイオステクノロジー株式会社

マンガで分かる:クラウドシステムの障害対策でユーザーが考慮すべきポイント

ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。

製品資料 Absolute Software株式会社

サイバーレジリエンスがなぜ今重要? 調査で知るエンドポイントの3大リスク

エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。